| |
| |||||||
Log-Analyse und Auswertung: System sehr langsam; Wurmkur?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.06.2008, 15:40
| #1 |
 |  System sehr langsam; Wurmkur? Hallo. Mein System ist seit geraumer Zeit deutlich langsamer als zuvor. Bisher war mir das einigermaßen egal, da sonst keine negativen Effekte wahrnehmbar waren. (ZoneAlarm meldete regelmäßig, daß ein Dienst nach Hause telefonieren wollte, aber das hab ich dann stets unterbunden.) Gestern aber habe ich gesehen, daß meine ungebetenen Gäste inzwischen sogar meinen Speicherstick bewohnen wollen. Die UFO.exe mit "versteckt"-Attribut hab ich an VirusTotal geschickt, mit folgendem Ergebnis: Code:
ATTFilter Also hab ich doch mal Winpooch angeworfen und der schlug immer dann an, wenn oben erwähnter Dienst rauswählen wollte. WP teilte mir mit, wo die benannte LongX911.Exe sich aufhielt, und ich schickte zügig auch hiervon eine Kopie an VirusTotal: Code:
ATTFilter Danach hab ich mal HijackThis gucken lassen. Der fand im System32-Ordner eine secpol.exe, auch "Niojec.gen"-infiziert. Außerdem wurde beim Start eine fsmgmt.dll geladen, auch "Eldorado"-infiziert, laut VirusTotal. Ein aktueller HJT-Log sieht so aus: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:22:21, on 08.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winpooch\Winpooch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe D:\Filme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer = 62.109.123.196 213.191.74.18 O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing) O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe (file missing) O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danach nochmal SmitFraudFix: Code:
ATTFilter SmitFraudFix v2.323
Scan done at 16:25:36,84, 08.06.2008
Run from D:\Filme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\m\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 62.109.123.196
DNS Server Search Order: 213.191.74.18
Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Mir ist auch aufgefallen, daß das System mit normaler, althergebrachter Geschwindigkeit läuft, wenn ich einen bestimmten "svchost"-Prozess (ca 4kB groß, wohl der gehighjackte) manuell beende. Leider geht danach ziemlich sofort die Meldung auf, RPC-Dings sei unerwartet beendet worden und nach einem 60 Sekunden-Countdown fährt das System runter. "Mach alles platt und spiel neu auf" ist schnell gesagt und würde sich im Normalfall auch von selbst verstehen, aber jetzt ist meine Neugier geweckt. Wenn es nicht ewig dauert und unendlich kompliziert ist, interessiert mich einfach, wie solche Malware heutzutage ungefähr arbeitet und ob man dem mit viel Kleinarbeit von Hand beikommen kann. Vielleicht fällt einem dazu ja eine Vorgehensweise ein. "Nö, Rootkit. Gearscht" wäre natürlich auch eine (nicht so lehrreiche) Option. btw: Ich hatte mal ein kleines Tool, evtl sogar von Microsoft selbst, das die einzelnen Prozesse näher analysierte und das anzeigte. So daß da nicht nur achtmal "svchost" steht und man sich denkt "Mmmmmhhh...". Jemand ne Idee, wie das heissen könnte? |
| Themen zu System sehr langsam; Wurmkur? |
| 1.exe, adobe, analysis, application, attention, bho, cs3, ctfmon.exe, einstellungen, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, home, homepage, internet, internet explorer, langsam, logfile, malware, monitor, mozilla, mozilla firefox, prozesse, rundll, sehr langsam, software, system, userinit.exe, virus, von selbst, windows, windows xp |
Baum-Darstellung